Rapport Hijachkthis

[Dokiato]

Ok , en passant si j'ai dis brb à 6heures c parce que je pencais ne pas pouvoirs revenir avant 6 heures se soir mais j'ai trouver une échapatoir .

 

Daccord j'attend

Modifié le 13 mai 2007 par Dokiato

[Thanos]

Désolé pour l'attente!!

 

Pour ce qui est de la première étape qui a échoué, est ce que tu veux réessayer stp, mais en cherchant le fichier camacttiv.exe dans le dossier suivant > C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Quarantine

 

Merci de retenter le coup

 

1.Ouvre le dossier C:\Rustbfix.

Copier tout le texte de la boîte ci-dessous(sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\explorer\Run|Generic Host Process
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Uaafn

Drivers to unload:
mqxmfvki

Files to Delete:
C:\WINDOWS\system32\drivers\mqxmfvki.sys
C:\WINDOWS\system32\ckl009.dat
C:\phqqysic.bat

Folder to Delete:
C:\FOUND.035
C:\FOUND.034

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

2. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
  
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  
• Cliquer Done
  
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  
• Répondre "Yes" deux fois quand demandé.
  

3. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
  

Poste le rapport C:\avenger.txt ainsi qu'un nouveau rapport Combofix stp et un nouveau rapport hijackthis.

 

On a un souci Dokiato...Ton antivirus semble ne plus fonctionner!! Il va peut être falloir en réinstaller un.

[Dokiato]

#1: Je suis désoler auccun fichier ne correspond à se nom

 

#2,3: Je suis encore plus désoler ...

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

 

Error: could not create zip file.

Error code: 0

 

 

Error: could not create reboot file.

Error code: 0

 

 

Error: could not create reboot batch.

Error code: 0

 

Et oui j'ai de la misère avec avast/adawar et plein d'autres anti virus :S mais bon il y a des details qu'il faudrait p-t que je t'en parle en privée

[Thanos]

Elimine le fichier avnger.txt

Réessaie de relancer le script Avenger après ca stp.(dès fois ca ne fonctionne pas la première fois!)

 

Si tu as quelque chose à me dire qui puisse être important, n'hésite pas à me MP

 

Il n'y a rien dans ce dossier ? > C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Quarantine

[Dokiato]

Surprise ,surprise j'ai un nouveau dossier backup.zip qui vien d'aparaître dans c/avenger/

 

Surprise #2 plein de trucs dans C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Quarantine

,mais pas le dossiers demander

 

Pour avenger ca ne devrais pas être long ...

[Dokiato]

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\sgoolaug

 

*******************

 

Script file located at: \??\C:\Program Files\gfnshioy.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

 

Registry key \Registry\Machine\System\CurrentControlSet\Services\mqxmfvki not found!

Unload of driver mqxmfvki failed!

 

Could not process line:

mqxmfvki

Status: 0xc0000034

 

File C:\WINDOWS\system32\drivers\mqxmfvki.sys deleted successfully.

File C:\WINDOWS\system32\ckl009.dat deleted successfully.

File C:\phqqysic.bat deleted successfully.

 

 

File Folder to Delete: not found!

Deletion of file Folder to Delete: failed!

 

Could not process line:

Folder to Delete:

Status: 0xc0000034

 

 

 

Error: C:\FOUND.035 is a folder, not a file!

Deletion of file C:\FOUND.035 failed!

 

Could not process line:

C:\FOUND.035

Status: 0xc00000ba

 

 

 

Error: C:\FOUND.034 is a folder, not a file!

Deletion of file C:\FOUND.034 failed!

 

Could not process line:

C:\FOUND.034

Status: 0xc00000ba

 

Registry value HKLM\software\microsoft\windows\currentversion\policies\explorer\Run|Generic Host Process deleted successfully.

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Uaafn deleted successfully.

 

Completed script processing.

 

 

 

 

 

Esque je peux faire autre chose pour aider a ma cause ???

[Thanos]

Très bien

 

Je te demandais aussi un nouveau rapport Combofix et un nouveau rapport hijackthis.

 

Il va falloir qu'on s'occupe des protections sur le pc, car il est possible qu'un malware ait effacé un fichier important de ton antivirus: est ce que tu parviens à le démarrer ou pas?

 

Elimine ces deux dossiers stp >

 

C:\FOUND.035

C:\FOUND.034

[Dokiato]

C:\FOUND.035

C:\FOUND.034

 

Je ne vois pas ca ...

[Thanos]

ok c'est pas grave! poste les deux rapports stp

[Dokiato]

"Scan" - 2007-05-14 16:23:24 Service Pack 2

ComboFix 07-05.09.V - Running from: "F:\User\Gab\"

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-14 ))))))))))))))))))))))))))))))))))

 

 

2007-05-14 16:09 <DIR> d-------- C:\avenger

2007-05-14 00:12 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-05-13 10:30 <DIR> d-------- C:\Servicefilter

2007-05-13 10:19 853 --a------ C:\reboot.cmd

2007-05-13 10:19 68,096 --a------ C:\diff.exe

2007-05-13 10:19 103,424 --a------ C:\grep.exe

2007-05-12 16:19 49,152 --a------ C:\WINDOWS\nircmd.exe

2007-05-11 20:11 <DIR> d-------- C:\VundoFix Backups

2007-04-28 17:49 <DIR> d-------- C:\DOCUME~1\Scan\Contacts

2007-04-28 17:48 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE

2007-04-21 10:48 <DIR> d--hs---- C:\FOUND.035

2007-04-18 17:13 <DIR> d--hs---- C:\FOUND.034

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-05-14 20:07:14 24 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-14 20:07:14 24 ----a-w C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-08 23:02:28 3,939 ----a-w C:\WINDOWS\mozver.dat

2007-03-18 01:15:30 -------- d-----w C:\DOCUME~1\Scan\APPLIC~1\Ventrilo

2007-02-07 21:12:52 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"="C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx"

"{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}"="F:\Programe\BitComet\tools\BitCometBHO.dll"

"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"="C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll"

"{9394EDE7-C8B5-483E-8773-474BF36AF6E4}"="C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll"

"{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"="C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"

"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

"WINDVDPatch"="CTHELPER.EXE"

"Jet Detection"="\"C:\\Program Files\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe\""

"CTStartup"="C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE /run"

"Disc Detector"="C:\\Program Files\\Creative\\ShareDLL\\CtNotify.exe"

"RealTray"="C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"AVG7_CC"="F:\\Programe\\avgcc.exe /STARTUP"

"nwiz"="nwiz.exe /install"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Steam"=""

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce\CTStartup]

"CTStartup"="\"C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE\" /play"

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"AVG7_Run"="F:\\Programe\\avgw.exe /RUNONCE"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll"

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages msv1_0nwprovau\

Security Packages kerberosmsv1_0schannelwdigest\

Notification Packages scecli\

 

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService DnsCache\

rpcss RpcSs\

imgsvc StiSvc\

termsvcs TermService\

HTTPFilter HTTPFilter\

DcomLaunch DcomLaunchTermService\

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L]

Shell\AutoRun\command L:\autorun.exe

Shell\directx\command L:\DirectX9\dxsetup.exe

Shell\setup\command L:\setup.exe

 

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-05-14 16:26:26

Windows 5.1.2600 Service Pack 2 FAT

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????>?????w???w????????\???\???????????U??w???w\???\???????X?`??????C@?\???\??????s????\??????s\????=??A??s?=???C@?x???`|?w\?????@

Disc Detector = C:\Program Files\Creative\ShareDLL\CtNotify.exe?X???????????????????E?@?D?tecteur de disque? ?A???????B?e!@???@???@?? C?????E?@?????????@?B???A????? ?A???????B???@?????P?????@?@??????????w??????????@???????????????????B?????????????????????????????????r?B

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 2007-05-14 16:26:33

C:\ComboFix3.txt ... 2007-05-12 16:19

C:\ComboFix-quarantined-files.txt ... 2007-05-14 16:26

C:\ComboFix2.txt ... 2007-05-14 11:45

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:27:33, on 2007-05-14

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Diskeeper\DkService.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Creative\ShareDLL\CtNotify.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Creative\ShareDLL\MediaDet.exe

F:\Programe\Firefox\firefox.exe

F:\Programe\Hijackthis\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programe\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] F:\Programe\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Download all links using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://F:\Programe\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - F:\Programe\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - F:\Programe\avgupsvc.exe (file missing)

O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - F:\Programe\avgemc.exe (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Common Files\SC Test Branding 1 Shared\Service\SCTestService1.exe